Professional Documents
Culture Documents
TTTN
TTTN
HỒ CHÍ MINH
----------------
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
Chữ ký GVHD
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
Chữ ký GVPB
MỤC LỤC
MỤC LỤC...................................................................................................................i
LỜI MỞ ĐẦU.............................................................................................................1
CHƯƠNG 2: CƠ SỞ LÝ THUYẾT...........................................................................5
3.4.1 Ưu điểm....................................................................................................14
II
4.4 Lab cấu hình VPN site-to-site.........................................................................26
5.5.1 Ưu điểm....................................................................................................46
IV
DANH MỤC HÌNH ẢNH
Chúng em hoàn toàn chịu trách nhiệm về tính trung thực của các nội dung trong đề
tài của mình.
HCM, ngày tháng năm 2023 HCM, ngày tháng năm 2023
Sinh viên
Ký tên
IX
LỜI CẢM ƠN
Để hoàn thành được đề tài này, em xin gửi lời cảm ơn sâu sắc đến thầy Trần
Thế Vinh đã tận tình hướng dẫn và tạo điều kiện cho chúng em tìm hiểu về đề tài
“Triển khai và quản lý mô hình mạng doanh nghiệp” cũng như đã chỉ bảo em
trong quá trình làm thực tập tốt nghiệp.
Em cũng xin cảm ơn các thầy cô giáo trong Trường Đại học Giao thông vận tải
Thành phố Hồ Chí Minh nói chung và trong khoa Công Nghệ Thông Tin nói riêng
đã cung cấp kiến thức, giúp em có cơ sở lý thuyết vững vàng. Tạo điều kiện tốt cho
em thực hiện được đề tài này.
Cuối cùng, em xin chân thành cảm ơn và kính chúc quý thầy cô dồi dào sức
khỏe để tiếp tục dẫn dắt thêm nhiều lớp sinh viên tài giỏi.
HCM, ngày tháng năm 2023 HCM, ngày tháng năm 2023
X
LỜI MỞ ĐẦU
Hiện nay, Internet đã phát triển mạnh mẽ cả về mặt mô hình lẫn tổ chức, đáp
ứng khá đầy đủ các nhu cầu của người sử dụng. Internet đã được thiết kế để kết nối
nhiều mạng với nhau và cho phép thông tin chuyển đến người sử dụng một cách tự
do và nhanh chóng. Để làm được điều này người ta sử dụng một hệ thống các thiết
bị định tuyến để kết nối các LAN và WAN với nhau. Các máy tính được kết nối vào
Internet thông qua các nhà cung cấp dịch vụ ISP. Với Internet, những dịch vụ như
đào tạo từ xa, mua hàng trực tuyến, tư vấn các lĩnh vực và rất nhiều điều khác đã trở
thành hiện thực. Tuy nhiên do Internet có phạm vi toàn cầu và không một tổ chức,
chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ
liệu, cũng như việc quản lý dịch vụ.
Các doanh nghiệp có chuỗi chi nhánh, cửa hàng ngày càng trở nên phổ biến.
Do đó, để kiểm soát, quản lý, tận dụng tốt nguồn tài nguyên, nhiều doanh nghiệp đã
triển khai giải pháp phần mềm quản lý nguồn tài nguyên có khả năng hỗ trợ truy
cập, truy xuất thông tin từ xa. Tuy nhiên, việc truy xuất cơ sở dữ liệu từ xa luôn đòi
hỏi cao về vấn đề an toàn, bảo mật
Để giải quyết vấn đề trên, nhiều doanh nghiệp đã chọn giải pháp mô hình
mạng riêng ảo VPN. Trong thực tế, cấu hình VPN trên Windows chiếm đa số nhưng
chi phí và giá thành lại cao, tính bảo mật và an toàn dữ liệu ít đảm bảo. Vì thế cấu
hình VPN trên hệ điều hành Linux đã ra đời để giải quyết những vấn đề trên. Vì hệ
điều hành Linux có tính linh hoạt, chạy nhanh hơn và ổn định hơn hệ điều hành
Windows vì thế người ta thường dùng hệ điều hành Linux để làm máy chủ. Nhưng
hệ điều hành Windows lại được dùng làm server nhiều hơn vì dễ sử dụng, giao diện
đồ họa tốt, được nhiều người biết đến.
Chính vì vậy, nên nhóm đã chọn đề tài “Triển khai và quản lý mô hình mạng doanh
nghiệp” làm đồ án thực tập tốt nghiệp. Nhằm nghiên cứu và tạo cơ hội học tập, xây
1
dựng một hệ thống VPN thực tế đóng góp một phần nhỏ trong việc phát triển doanh
nghiệp.
2
CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI
Hiện nay, Internet được phổ biến rộng rãi và ngày càng hiện đại. Chính vì sự
phổ biến của Internet nên việc bảo vệ thông tin cá nhân là điều cần thiết trước
những Hacker, điều này không chỉ những cá nhân mà còn cả doanh nghiệp, hàng
năm việc mất thông tin trong các doanh nghiệp vẫn xảy ra triền miên và cũng đã có
nhiều vụ lớn đã lên báo, chính vì thế việc bảo mật thông tin cho doanh nghiệp mang
tính cấp thiết và quan trọng hàng đầu. Từ đó người ta đưa ra một mô hình mới nhằm
thỏa mãn nhu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của
Internet, đó chính là mô hình mạng riêng ảo (Virtual Private Network - VPN) đó
cũng chính là một trong những lý do mà nhóm chọn đề tài này.
Trong thực tế hiện nay, cấu hình VPN trên Windows Server chiếm đa số
nhưng chi phí và giá thành lại cao, cùng với sự phát triển vượt bậc của công nghệ
Hacking nên tính bảo mật và an toàn dữ liệu trên hệ thống Windows đang đứng
trước tình trạng nguy hiểm hơn bao giờ hết. Nhằm tiết kiệm tiền bạc, đảm bảo tính
bảo mật và an toàn dữ liệu, vì thế cấu hình VPN trên hệ điều hành Linux đã ra đời
để giải quyết những vấn đề trên. Trong đó, CentOS (Community Enterprise
Operating System) là một phân phối của hệ điều hành Linux được phát triển từ
RHEL (Red Hat Enterprise Linux) là một hệ điều hành mã nguồn mở và hoàn toàn
miễn phí và có thể thích hợp với các phần mềm chạy trên Red Hat. Vì hệ điều hành
Linux có tính linh hoạt cao hơn hệ điều hành Windows, thường dùng command line
để cấu hình chứ không dùng giao diện đồ họa như Windows. Hệ thống chạy trên hệ
điều hành Linux thường nhanh hơn và ổn định hơn vì thế người ta thường dùng
CentOS để làm máy chủ. Chính vì sự tiện lợi và an toàn của nó, VPN được triển
khai nhiều ở các doanh nghiệp, trường học, bệnh viện.
3
Triển khai VPN server hoàn chỉnh trên hệ điều hành Linux.
Xây dựng hệ thống VPN client – to – site để người dùng có thể kết nối từ xa
vào mạng riêng ảo của công ty.
Xây dựng hệ thống VPN site – to – site có thể kết nối được các mạng LAN lại
với nhau.
Xây dựng hệ thống VPN kết hợp IPSec có thể đảm bảo tính bảo mật cho hệ
thống.
Tổng quát bài báo cáo tới người nghe và người đọc một cách dễ hiểu nhất.
Hoàn thành nhiệm vụ của đề tài đưa ra, xây dựng thành công hệ thống mạng
riêng ảo trên trên hệ điều hành Linux với các thiết bị và cơ sở hạ tầng phù hợp với
sự phát triển của kỹ thuật và phù hợp với nền kinh tế tài chính Việt Nam hiện tại.
4
mục tiêu, lý do chọn đề tài tìm hiểu và xây dựng hệ thống VPN trên hệ điều
hành Linux.
Chương 2: Cơ sở lý thuyết
Để xây dựng một hệ thống VPN là điều rất khó khăn và điều đầu tiên trước
khi xây dựng một hệ thống VPN ta phải nắm vững những kiến thức nền tảng
từ đó làm cơ sở cho quá trình xây dựng hệ thống VPN trên hệ điều hành
Linux. Vì thế trong chương này sẽ đưa ra các cơ sở lý thuyết, các khái niệm
liên quan đến hệ điều hành Linux, VPN, và các ứng dụng, lợi ích của nó nhằm
phục vụ cho việc xây dựng hệ thống VPN trên Linux.
Chương 3: Xây dựng VPN client – to – site
VPN client – to – site là một trong những dịch vụ mạng được các doanh
nghiệp sử dụng khá nhiều hiện nay. Nhóm đã sử dụng giao thức OpenVPN để
xây dựng hệ thống. OpenVPN là một trong những giao thức phổ biến để xây
dựng hệ thống VPN trên nền tảng CentOS vì sự tiện lợi và cấu hình một cách
dễ dàng mà vẫn đáp ứng đầy đủ nhu cầu của một hệ thống VPN cần thiết.
Chương 4: Xây dựng VPN site – to - site
Để kết nối các mạng LAN lại với nhau nhằm mở rộng hệ thống VPN trong
doanh nghiệp thì không thể không nhắc đến hệ thống VPN site – to – site.
Trong chương này nhóm đã sử dụng giao thức Strongswan để xây dựng hệ
thống VPN site – to – site nó không chỉ giúp cho cấu hình dễ dàng mà còn
đảm bảo tính an toàn trong hệ thống, đặc biệt có sử dụng IPSec để cấu hình
điều này rất tốt cho VPN.
Chương 5: VPN với IPSec trên môi trường Linux
Một hệ thống VPN hoàn chỉnh phải có đầy đủ các tính năng bảo mật và mã
hóa đường truyền để dữ liệu truyền đi một cách an toàn vì thế sự kết hợp
L2TP/IPSec chính là sự lựa chọn tốt nhất để xây dựng hệ thống VPN với đầy
đủ các tính năng bảo mật.
5
Chương 6: Kết luận
Trong chương này sẽ đưa ra các đánh giá kết luận về đề tài cũng như quá trình
xây dựng lên hệ thống VPN và nêu ra hướng phát triển cho đề tài.
6
CHƯƠNG 2: CƠ SỞ LÝ THUYẾT
Trong phần đầu tiên của bài trình bày này, nhóm chúng tôi xin được giới thiệu
đôi lời về những đặc điểm đặc biệt của hệ điều hành Linux, và quan trọng hơn hết
trong chương này nhóm sẽ trình về các khái niệm, cách thức hoạt động và ưu nhược
điểm của VPN.
7
khác. Điều này một phần là do thiết kế của nó, cũng như thực tế
là nó không được sử dụng phổ biến như các hệ điều hành khác.
Tính ổn định: Linux được biết đến với tính ổn định và độ tin cậy,
khiến nó trở thành lựa chọn lý tưởng để sử dụng trong các máy
chủ và các ứng dụng quan trọng khác.
Khả năng tùy chỉnh: Linux có khả năng tùy biến cao, nghĩa là nó
có thể được điều chỉnh để phù hợp với nhu cầu cụ thể của người
dùng và tổ chức. Điều này có thể dẫn đến tăng hiệu quả và năng
suất.
Khả năng tương thích: Linux tương thích với nhiều loại phần
cứng, có nghĩa là nó có thể được sử dụng trên nhiều loại thiết bị,
từ điện thoại thông minh và máy tính bảng đến máy tính để bàn
và máy chủ. Hệ điều hành Linux và các hệ điều hành mã nguồn
mở khác có xu hướng được cập nhật thường xuyên cho các bản
vá bảo mật và chức năng, trong khi vẫn giữ được chức năng cốt
lõi. Cấu hình và tập lệnh shell có thể hoạt động không thay đổi
ngay cả khi áp dụng các bản cập nhật phần mềm.
Chi phí: Linux thường miễn phí sử dụng, điều này có thể khiến nó
trở thành một lựa chọn hấp dẫn cho các doanh nghiệp và cá nhân
đang muốn tiết kiệm tiền.
Nhược điểm: Một số nhược điểm của việc sử dụng hệ điều hành Linux
bao gồm:
Tốc độ internet chậm hơn: Vì lưu lượng truy cập internet phải
được mã hóa và định tuyến qua máy chủ VPN nên đôi khi có thể
dẫn đến tốc độ internet chậm hơn so với khi không sử dụng VPN.
Vị trí máy chủ hạn chế: Một số dịch vụ VPN có thể có số lượng vị
trí máy chủ hạn chế để lựa chọn, điều này có thể ảnh hưởng đến
tốc độ và độ tin cậy của kết nối.
8
Khả năng rò rỉ DNS: Trong một số ít trường hợp, VPN có thể làm
rò rỉ các yêu cầu DNS của bạn, điều này có thể tiết lộ hoạt động
duyệt web của bạn cho nhà cung cấp dịch vụ internet hoặc các bên
thứ ba khác.
Phần mềm độc quyền: Phần mềm năng suất máy tính để bàn như
Microsoft Office không thể được sử dụng trên máy tính để bàn
Linux và phần mềm độc quyền khác có thể không khả dụng cho
nền tảng Linux.
Mục đích chính của VPN là cung cấp cho bạn quyền riêng tư và bảo mật
trực tuyến. Bằng cách mã hóa lưu lượng truy cập internet của bạn, VPN ngăn
9
không cho bất kỳ ai chặn hoặc theo dõi hoạt động trực tuyến của bạn. Điều
này đặc biệt quan trọng khi bạn đang sử dụng mạng Wi-Fi công cộng, thường
không an toàn và có thể dễ dàng bị tấn công. Ngoài ra, VPN có thể giúp bạn
bỏ qua các hạn chế và kiểm duyệt về địa lý. Ví dụ: nếu bạn đang ở một quốc
gia nơi một số trang web hoặc dịch vụ nhất định bị chặn, bạn có thể sử dụng
VPN để kết nối với máy chủ ở một địa điểm khác không áp dụng các hạn chế
đó.
Bảo mật: VPN mã hóa tất cả lưu lượng dữ liệu giữa thiết bị của bạn và
máy chủ VPN, khiến mọi người rất khó chặn hoặc đọc dữ liệu. Điều
này đặc biệt quan trọng khi sử dụng mạng Wi-Fi công cộng, mạng này
có thể dễ bị tin tặc tấn công.
Quyền riêng tư: VPN ẩn địa chỉ IP và vị trí của bạn, khiến các trang
web và dịch vụ trực tuyến khó theo dõi các hoạt động trực tuyến và
10
nhận dạng bạn hơn nhiều. Điều này đặc biệt hữu ích để bảo vệ sự riêng
tư và ẩn danh trực tuyến của bạn.
Truy cập vào nội dung bị giới hạn địa lý: VPN có thể được sử dụng để
truy cập nội dung có thể bị giới hạn ở vị trí của bạn, chẳng hạn như
dịch vụ phát trực tuyến hoặc trang web chỉ khả dụng ở một số quốc gia.
Vượt qua kiểm duyệt internet: VPN có thể được sử dụng để vượt qua
kiểm duyệt internet ở các quốc gia nơi một số trang web hoặc dịch vụ
trực tuyến bị chặn.
Truy cập từ xa: VPN có thể được sử dụng để truy cập từ xa các tệp và
tài nguyên trên mạng của công ty, cho phép nhân viên làm việc tại nhà
hoặc khi đi du lịch.
Cải thiện hiệu suất: VPN có thể cải thiện hiệu suất kết nối internet của
bạn bằng cách giảm độ trễ và cải thiện tốc độ tải xuống và tải lên.
Tiết kiệm chi phí: VPN có thể giảm chi phí khi truyền tới 20-40% so
với những mạng thuộc mạng leased-line và giảm việc chi phí truy cập
từ xa từ 60-80%.
VPN có thể mang lại một số lợi ích quan trọng cho cá nhân và doanh
nghiệp, bao gồm cải thiện bảo mật, quyền riêng tư, quyền truy cập nội dung và
quyền truy cập từ xa vào tài nguyên của công ty.
2.2.3 Chức năng VPN
VPN cung cấp các chức năng:
Chức năng chính của VPN (Mạng riêng ảo) là cung cấp kết nối an
toàn và được mã hóa giữa thiết bị của bạn và máy chủ từ xa, có
thể được đặt ở mọi nơi trên thế giới. Điều này tạo ra một "đường
hầm" riêng tư và an toàn giữa thiết bị của bạn và internet, giúp
bảo vệ các hoạt động trực tuyến của bạn khỏi bị các bên thứ ba
theo dõi, giám sát hoặc chặn.
11
Mã hóa: VPN mã hóa tất cả lưu lượng dữ liệu giữa thiết bị của
bạn và máy chủ từ xa, khiến mọi người rất khó chặn hoặc đọc dữ
liệu.
Mặt nạ địa chỉ IP: VPN ẩn địa chỉ IP và vị trí của bạn, khiến các
trang web và dịch vụ trực tuyến khó theo dõi các hoạt động trực
tuyến và nhận dạng bạn hơn nhiều.
Che dấu vị trí: VPN cho phép bạn xuất hiện như thể bạn đang truy
cập internet từ một vị trí khác với vị trí thực tế của bạn, điều này
có thể hữu ích để truy cập nội dung bị giới hạn địa lý hoặc bỏ qua
kiểm duyệt internet.
Truy cập nội dung bị chặn: VPN có thể được sử dụng để truy cập
nội dung có thể bị chặn ở vị trí của bạn, chẳng hạn như dịch vụ
phát trực tuyến hoặc trang web chỉ khả dụng ở một số quốc gia.
Truy cập từ xa: VPN có thể được sử dụng để truy cập từ xa các
tệp và tài nguyên trên mạng của công ty, cho phép nhân viên làm
việc tại nhà hoặc khi đi du lịch.
Bảo vệ quyền riêng tư: VPN có thể cung cấp thêm một lớp bảo vệ
quyền riêng tư bằng cách ngăn nhà cung cấp dịch vụ internet
(ISP) theo dõi các hoạt động trực tuyến của bạn.
VPN là một trong những dịch vụ mạng khá phổ biến hiện nay, trong chương 2
cũng đã nêu rõ về các ứng dụng và tầm quan trọng của VPN đối với doanh nghiệp.
Nhưng cấu hình VPN trên hệ điều hành nào sẽ tốt hơn, điều này trong chương 1
cũng đã giải thích khá chi tiết bởi vì hệ điều hành Linux là một trong những hệ điều
hành khá phổ biến hiện nay, nó không những có nhiều tính năng vượt trội hơn
Windows mà còn khá an tâm về tính bảo mật. vì vậy việc cấu hình VPN trên hệ
điều hành Linux là một điều đúng đắn cho doanh nghiệp.
Thông qua chương 2 ta biết được những khái niệm, cách hoạt động và các cơ
sở lý thuyết của VPN cũng như về hệ điều hành Linux, những cơ sở lý thuyết đó là
tiền đề để ta có thể cấu hình một hệ thống VPN trên hệ điều hành Linux một cách
hoàn chỉnh và trong chương 3 nhóm sẽ trình bày về nội dung xây dựng VPN Client
– to - site trên hệ điều hành linux.
13
CHƯƠNG 3 XÂY DỰNG VPN CLIENT - TO - SITE
Công nghệ ngày càng phát triển vì thế nhiều công ty, doanh nghiệp hay
trường học đều đang dần chuyển sang làm việc từ xa, nên việc sử dụng VPN trở nên
phổ biến và cần thiết hơn bao giờ hết. Điều này cho thấy tầm quan trọng của VPN
trong môi trường doanh nghiệp.
Người dùng khởi động VPN client trên máy tính cá nhân, sử dụng
username/password để xác thực với VPN server, và sau đó sẽ khởi tạo 1 đường
truyền VPN được mã hóa từ máy tính cá nhân của người dùng đến mạng riêng ở xa.
Sau đó dữ liệu từ máy tính của người dùng đến mạng ở xa sẽ được truyền trên
đường truyền riêng an toàn và bảo mật.
14
Hình 3.1 VPN client to site
17
3.5.2 Cách thức hoạt động
OpenVPN hoạt động trên kiến trúc máy khách - máy chủ. Về cơ bản,
phần mềm cần thiết để thiết lập máy chủ OpenVPN được cài đặt trên máy cần
truy cập từ xa (máy chủ) và máy khách OpenVPN được cài đặt trên tất cả các
máy cần truy cập máy chủ này (người làm việc từ xa).
Có hai giao thức chính để thiết lập và quản lý các kết nối VPN với giao
thức an toàn:
PPTP: Giao thức đường hầm điểm tới điểm. Đây là giao thức dễ nhất
và phổ biến nhất cho VPN. Tất cả các hệ điều hành hiện đại đều có
ứng dụng khách PPTP được tích hợp sẵn, nhưng hỗ trợ máy chủ vẫn
cần được thiết lập riêng.
L2TP: Giao thức đường hầm lớp 2. L2TP tương tự như PPTP vì nó
cũng sử dụng kênh điều khiển qua UDP và đường hầm GRE hoạt
động như một kênh dữ liệu. L2TP không tự cung cấp bất kỳ mã hóa
hoặc bảo mật nào, nó dựa vào giao thức lớp trên (ví dụ: IPSec) để bảo
mật dữ liệu được truyền qua đường hầm L2TP
18
OpenVPN là một SSL / TLS VPN. Các kết nối máy khách / máy chủ
đường hầm OpenVPN qua cổng TCP 443. Khi được kết hợp với HTTPS ('S' là
viết tắt của 'Secure'), OpenVPN trở thành một công cụ mạnh mẽ, linh hoạt để
vượt qua các hạn chế về nội dung và tường lửa trong khi vẫn duy trì các tính
năng mã hóa và xác thực mạnh mẽ vốn có khiến nó trở nên phổ biến đối với cả
người dùng doanh nghiệp và người dùng gia đình.
OpenVPN không chỉ là một phần mềm VPN thay thế cho Cisco VPN
hoặc Fortinet VPN, mà nó còn cung cấp các giao thức SSL / TLS VPN rất linh
hoạt có thể được sử dụng để vượt qua hầu hết mọi hạn chế về tường lửa hoặc
nội dung.
yum -y update
19
Tiếp theo để cài đặt OpenVPN chúng ta cần cài Package Net-tools trước,
Package này sẽ chứa ifcfg cần thiết để tạo OpenVPN server.
curl-Ohttp://swupdate.openvpn.org/as/openvpn-as-2.7.3
CentOS7.x86_64.rpm
Tiếp theo, cài đặt VPN server trên CentOS sử dụng lệnh:
20
Sau khi hoàn tất ta thấy được thông tin Admin UI và Client UI. Mặc định
OpenVPN user sẽ được tạo sẵn trong quá trình cài. Và sau đó có thể đặt mật
khẩu cho người dùng này bằng lệnh passwd:
passwd openvpn
Và đặt mật khẩu mới cho user OpenVPN. Sau đó sử dụng admin URL để đăng
nhập và hoàn tất quá trình cài đặt. Đường dẫn trang admin URL là:
https://192.168.44.137:943/admin.
Đối với địa chỉ URL ta chỉ cần nhập VPS IP Address của bạn, port :943
port với /admin.
21
Hình 3.5 Giao diện đăng nhập admin
Username như ở trên là OpenVPN và mật khẩu là mật khẩu mà ta đã đặt
ở trên. Sau khi đăng nhập ta sẽ thấy trang điều khoản và điều kiện và nhấn nút
Agree để tiếp tục. Ở trang tiếp theo sẽ cung cấp thông tin cấu hình và tình
trạng server.
Tới đây ta có thể hình dung bất kỳ hệ điều hành nào để kết nối tới máy
chủ VPN ví dụ: các hệ điều hành MacOS, Linux, Windows, Android, và iOS.
Trong trường hợp thay đổi thiết lập, ta nhấn nút Apply và Update Running
Server để kích hoạt thay đổi.
Xong phần cài đặt, tiếp theo ta sẽ tạo đường hầm OpenVPN.
Sau khi cài đặt thành công, ta sẽ được nhập OpenVPN username và
password. Server IP sẽ được tự động điền.
Ngoài ra, có thể dùng OpenVPN từ cửa sổ Windows taskbar để ngắt kết
nối, kết nối lại và xem tình trạng kết nối.
22
Hình 3.6 Kết nối VPN client to site thành công
OpenVPN là một ứng dụng phần mềm mã nguồn mở cho phép các kết nối
điểm - điểm an toàn trong các cấu hình được định tuyến hoặc bắc cầu và các
phương tiện truy cập từ xa. Nó sử dụng giao thức bảo mật tùy chỉnh dựa trên SSL /
TLS để thiết lập kết nối được mã hóa trên Internet.
Thông qua bài lab, nhóm đã cấu hình thành công hệ thống VPN client – to –
site từ đó người dùng có thể kết nối từ xa vào mạng của công ty mà không cần phải
đến nơi làm việc thông qua VPN. Tuy nhiên điều này chỉ có thể kết nối vào mạng
một LAN của công ty tại một chi nhánh vì vậy để kết nối nhiều mạng LAN hơn ta
sang chương 4 cấu hình VPN site – to - site
23
CHƯƠNG 4 XÂY DỰNG VPN SITE - TO – SITE TRÊN LINUX
Mạng riêng ảo site - to - site (VPN) là kết nối giữa hai hoặc nhiều mạng,
chẳng hạn như mạng công ty và mạng văn phòng chi nhánh. Nhiều tổ chức sử dụng
VPN site-to-site để tận dụng kết nối Internet cho lưu lượng truy cập riêng tư như
một giải pháp thay thế cho việc sử dụng các mạch MPLS riêng.
Chia sẻ tài nguyên: VPN site-to-site cũng cho phép các vị trí khác nhau
trong doanh nghiệp chia sẻ tài nguyên, chẳng hạn như tệp, cơ sở dữ liệu và
ứng dụng
Truy cập từ xa: VPN site-to-site cũng có thể được sử dụng để cung cấp
quyền truy cập từ xa vào tài nguyên doanh nghiệp, chẳng hạn như ứng dụng và
dữ liệu, cho những nhân viên đang làm việc bên ngoài văn phòng. Điều này
đặc biệt quan trọng trong thế giới ngày nay, nơi công việc từ xa đã trở nên phổ
biến hơn.
VPN site-to-site cũng có thể giúp doanh nghiệp tuân thủ các yêu cầu quy
định, chẳng hạn như các quy định về quyền riêng tư và bảo mật dữ liệu, bằng
cách cung cấp một kênh liên lạc an toàn và được mã hóa giữa các trang web
khác nhau.
Định tuyến không hiệu quả: Khả năng mở rộng hạn chế và thiếu tính bảo
mật tích hợp của VPN khiến một số tổ chức triển khai kiến trúc mạng “trung
tâm và giao tiếp”, trong đó tất cả các kết nối đều đi qua trang web trụ sở để
25
kiểm tra bảo mật. Mặc dù điều này làm giảm số lượng đường hầm VPN cần
thiết trong một tổ chức, nhưng nó có thể tạo ra độ trễ mạng đáng kể và tải bổ
sung trên mạng trụ sở.
Khả năng hiển thị bị phân mảnh: Mỗi kết nối VPN site-to-site là độc lập
với tất cả các kết nối khác. Điều này có nghĩa là một tổ chức có thể khó duy trì
khả năng hiển thị đầy đủ, tích hợp vào lưu lượng mạng của mình. Do đó, các
cuộc tấn công phân tán trên mạng WAN của công ty có thể khó phát hiện và
phản ứng hiệu quả hơn.
Cấu hình và quản lý phức tạp: Tính độc lập của mỗi đường hầm VPN
site-to-site làm cho một mạng WAN công ty dựa trên VPN có cấu hình và
quản lý phức tạp. Mỗi đường hầm VPN phải được thiết lập, giám sát và quản
lý riêng.
Thiếu bảo mật tích hợp: VPN site-to-site chỉ được thiết kế để cung cấp
kết nối được mã hóa giữa hai điểm. VPN không thực hiện kiểm tra bảo mật
nội dung hoặc kiểm soát truy cập, cung cấp cho người dùng VPN quyền truy
cập không hạn chế vào mạng mục tiêu.
Với việc sử dụng VPN, doanh nghiệp có thể giảm bớt các chi phí đầu tư
cho cơ sở hạ tầng truyền thông và các chi phí hàng tháng:
26
Chi phí thuê bao Leased Line, Frame Relay, ATM đường dài.
Chi phí cước viễn thông đường dài dành cho các kết nối truy cập từ
xa.
Trao đổi, chia sẻ dữ liệu an toàn, riêng tư, bảo mật giữa các văn
phòng, chi nhánh công ty, tổ chức.
Phân quyền truy cập nhằm kiểm soát tính riêng tư trong quá trình
truyền dữ liệu giữa các bộ phận nhất định.
Truy cập dữ liệu từ xa, giám sát văn phòng từ xa dễ dàng, hiệu quả.
Tiết kiệm chi phí đầu tư vào giải pháp đường truyền cũng như Remote
Access VPN truyền thống.
Đơn giản cho việc quản lý Firewall và quản trị hệ thống cho System
Administrator, …
Ngoài ra triển khai VPN còn giúp doanh nghiệp tiết kiệm được chi phí
cho việc vận hành và bảo trì hệ thống, giảm chi phí cho đội ngũ nhân
viên.
Phổ biến hiện nay là VPN trên Linux:
Site - to - site: Kết nối các mạng Lan riêng lẻ lại với nhau.
Client - to - site: Kết nối một cá nhân vào mạng Lan.
Mạng cách ly phi chuẩn: Tạo ra một môi trường cách ly hoàn toàn về
mặt giao thức TCP/IP giữa mạng nội bộ với hệ thống Internet bên ngoài,
nhưng dữ liệu truyền giữa các mạng nội bộ qua Internet ra bên ngoài vẫn bình
thường.
27
4.2 Mô hình VPN site-to-site
Strongswan là một giải pháp VPN dựa trên IP nguồn mở. Nó hỗ trợ cả giao
thức trao đổi khóa IKEv1 và IKEv2 kết hợp với ngăn xếp NETKEY IPSec của hạt
nhân Linux.
Trong đó:
Cổng ens33 có địa chỉ ip public 192.168.1.17 là cổng kết nối với
Internet
Cổng ens36 có địa chỉ ip 172.16.0.1 là cổng LAN với dãy mạng
172.16.0.0/24
Trong đó:
Cổng ens33 có địa chỉ ip public 192.168.1.24 là cổng có thể kết nối
với Internet
29
Cổng ens36 có địa chỉ ip 192.168.10.1 là cổng LAN với dãy mạng
192.168.10.0/24
30
Cài đặt Strongswan
Cài đặt và tắt tường lửa tạm thời cho hai máy server như sau:
#yum -y install epel-release
#yum -y install strongswan
#systemctl enable strongswan
#systemctl stop firewalld
#systemctl disable firewalld
Thay đổi các biến hệ thống này để cho phép chuyển tiếp IP và ngăn
chuyển hướng ICMP bằng cách.
#echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf (bật chuyển tiếp
ipv4)
#echo "net.ipv4.conf.all.accept_redirects=0" >> /etc/sysctl.conf (lệnh
này vô hiệu hóa việc chấp nhận tất cả các gói được chuyển hướng
ICMP trên tất cả các giao diện)
#echo "net.ipv4.conf.all.send_redirects=0" >> /etc/sysctl.conf (Lệnh
này vô hiệu hóa việc chấp nhận các gói chuyển hướng ICMP an toàn
trên tất cả các giao diện)
#sysctl -p /etc/sysctl.conf (dùng để kiểm tra các biến đã thay đổi hay
chưa)
#nano /etc/strongswan/ipsec.conf
31
File được cấu hình như các dòng bên dưới:
Trong đó
và
#nano /etc/strongswan/ipsec.conf
34
Hình 4.10 Cấu hình file /etc/strongswan/ipsec.secrets site 2 với mã PSK
Trong đó:
Tương tự site 1 ta phải cấu hình Firewall trước khi khởi động.
35
4.4.3 Kiểm tra kết nối site – to - site giữa 2 server
Server site 1
#tail -f /var/log/messages
#strongswan status
36
Trong đó 192.168.1.24 là địa chỉ ip của site 2
Sau đó kiểm tra kết nối bằng cách ping tất cả địa chỉ ip của site 2
Server site 2
37
Hình 4.14 Kiểm tra Strongswan site 2
Kiểm tra trạng thái của Strongswan (như bên dưới là thành công)
Sau đó kiểm tra kết nối bằng cách ping tất cả địa chỉ ip của site 1
38
Hình 4.16 Kết nối site 1 thành công
Client site 1
Đầu tiên, định tuyến cho route: (chạy command (cmd) với quyền admin
(Run as administrator)
39
Hình 4.18 Kết nối với client site 2 thành công
Client site 2
Đầu tiên, định tuyến cho route: (chạy command (cmd) với quyền admin
(Run as Administrator)
40
Hình 4.21 Kết nối với client site 1 thành công
41
4.5 Tổng kết chương 4
Trong chương 4, ta thấy rằng hệ thống VPN site – to – site có thể kết nối với
nhiều mạng LAN với nhau, điều này tạo nên sự dễ dàng khi giao tiếp giữa 2 máy
client giữa hai chi nhánh khác nhau.
Trong bài lab nhóm đã sử dụng Strongswan để cấu hình hệ thống VPN site –
to – site, Strongswan với phương thức mã hóa và xác thực mạnh cùng với chính
sách IPSec mạnh mẽ hỗ trợ các mạng VPN lớn và phức tạp sẽ giúp hệ thống tăng
cường bảo mật và an toàn hơn khi trao đổi dữ liệu, không những thế sự tiện lợi đến
từ sự đơn giản của cấu hình.
Trong doanh nghiệp hệ thống VPN site – to – site được nhiều công ty hay các
doanh nghiệp có nhiều chi nhánh sử dụng vì nó mang lại nhiều lợi ích trong quá
trình làm việc như truy cập thông tin của các chi nhánh một cách dễ mà không phải
tốn chi phí đi lại. Nhưng bên cạnh sự tiện lợi đó điều quan trọng của một hệ thống
VPN là tính bảo mật, điều này sẽ được nhóm trình bày rõ ở chương 5.
42
CHƯƠNG 5: VPN VỚI IPSEC TRÊN MÔI TRƯỜNG LINUX
IPSec, viết tắt của Internet Protocol Security, là một bộ giao thức mật mã bảo
vệ lưu lượng dữ liệu qua mạng Internet Protocol (IP). Mạng IP – bao gồm cả World
Wide Web – thiếu khả năng mã hoá và bảo vệ quyền riêng tư. VPN IPSec giải
quyết điểm yếu này, bằng cách cung cấp một framework cho việc giao tiếp được mã
hóa và riêng tư trên web. Bài viết này sẽ có cái nhìn sâu hơn về bộ giao thức này,
giải thích IPSec là gì và cách hoạt động của bộ giao thức này như thế nào.
Trong thuật ngữ “IPSec”, “IP” là viết tắt của “Internet Protocol” và
“Sec” là “Security”. Internet Protocol là một routing protocol chính được sử
dụng trên Internet. Nó chỉ định nơi dữ liệu sẽ đi bằng địa chỉ IP. Nhóm giao
thức này an toàn vì nó thêm mã hóa và xác thực vào quá trình này.
VPN giúp bạn có thể truy cập và trao đổi dữ liệu bí mật một cách an toàn
qua cơ sở hạ tầng shared network. Ví dụ, khi nhân viên làm việc từ xa thay vì
ở văn phòng, họ thường sử dụng VPN để truy cập các file và app của công ty.
43
Nhiều VPN sử dụng IPSec protocol để thiết lập và chạy các kết nối được
mã hóa. Tuy nhiên, không phải tất cả các VPN đều sử dụng nhóm giao thức
này. Một giao thức khác cho VPN là SSL/TLS, hoạt động ở một lớp khác
trong mô hình OSI so với IPSec. Mô hình OSI là một đại diện trừu tượng của
các quá trình là cho Internet hoạt động.
Trao đổi key: Key là yếu tố cần thiết để mã hóa, key là một chuỗi ký tự ngẫu
nhiên có thể được sử dụng để “lock” (mã hóa) và “unlock” (giải mã) thông điệp.
Nhóm giao thức này thiết lập các key với sự trao đổi key giữa các thiết bị được kết
nối. Để mỗi thiết bị có thể giải mã tin nhắn của các thiết bị khác.
Header và trailer của packet: Tất cả dữ liệu được gửi qua mạng được chia
thành các phần nhỏ hơn gọi là packet. Các packet chứa cả payload hoặc dữ liệu thực
tế được gửi bao gồm cả các header hoặc thông tin về dữ liệu đó để các máy tính
nhận packet biết phải làm gì với chúng. IPSec thêm một số header vào các packet
dữ liệu chứa thông tin xác thực và mã hóa. Nhóm giao thức này cũng thêm các đoạn
trailer đi sau payload của một packet thay vì trước đó.
Xác thực: IPSec cung cấp xác thực cho mỗi packet, giống như một con dấu
xác thực trên một vật phẩm sưu tầm được. Điều này đảm bảo rằng các packet đến từ
một nguồn đáng tin và không phải là Hacker.
Mã hóa: IPSec mã hóa payload bên mỗi packet và IP header của mỗi packet.
Điều này giữ cho dữ liệu được gửi qua nhóm giao thức này một cách an toàn và
riêng tư.
Truyền dữ liệu: Các IPSec packet được mã hóa truyền dữ liệu qua một hoặc
nhiều mạng đến đích của chúng bằng cách sử dụng một giao thức truyền tải. Ở giai
đoạn này, lưu lượng IPSec khác với lưu lượng IP thông thường ở chỗ nó thường sử
dụng UDP làm giao thức truyền tải hơn là TCP. TCP (Transmission Control
44
Protocol) thiết lập các kết nối chuyên dụng giữa các thiết bị và đảm bảo rằng tất cả
các packet đều được truyền đến đích. UDP (User Datagram Protocol) không thiết
lập các kết nối chuyên dụng này. Nhóm giao thức này sử dụng UDP vì nó cho phép
các IPSec packet vượt qua firewall.
Giải mã: Ở đầu kia của giao tiếp, các packet được giải mã và các app hiện có
thể sử dụng dữ liệu được phân phối.
Kiến trúc IPSec (RFC 2401): Quy định các cấu trúc, các khái niệm và yêu
cầu của IPSec.
Giao thức ESP (RFC 2406): Mô tả giao thức ESP, là một giao thức mật mã
và xác thực thông tin trong IPSec.
Giao thức AH (RFC 2402): Định nghĩa một giao thức khác với chức năng
gần giống ESP. Như vậy khi triển khai IPSec, người sử dụng có thể chọn
dùng ESP hoặc AH, mỗi giao thức có ưu và nhược điểm riêng.
Thuật toán mật mã: Định nghĩa các thuật toán mã hoá và giải mã sử dụng
trong IPSec. IPSec chủ yếu dựa vào các thuật toán mã hoá đối xứng.
Thuật toán xác thực: Định nghĩa các thuật toán xác thực thông tin sử dụng
trong AH và ESP.
Quản lý khoá (RFC 2408): Mô tả các cơ chế quản lý và trao đổi khóa trong
IPSec.
Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường
thực thi IPSec. IPSec không phải là một công nghệ riêng biệt mà là sự tổ
hợp của nhiều cơ chế, giao thức và kỹ thuật khác nhau, trong đó mỗi giao
thức, cơ chế đều có nhiều chế độ hoạt động khác nhau. Việc xác định một
45
tập các chế độ cần thiết để triển khai IPSec trong một tình huống cụ thể là
chức năng của miền thực thi. Xét về mặt ứng dụng, IPSec thực chất là một
giao thức hoạt động song song với IP nhằm cung cấp 2 chức năng cơ bản
mà IP nguyên thuỷ chưa có, đó là mã hoá và xác thực gói dữ liệu. Một cách
khái quát có thể xem IPSec là một tổ hợp gồm hai thành phần:
Giao thức đóng gói, gồm AH và ESP: Bảo vệ truyền thông IP, dựa vào
SA (khóa, địa chỉ, các thuật toán mật mã).
Giao thức trao đổi khóa IKE (Internet Key Exchange): Để thiết lập các
SA (Security Association) cho AH hoặc ESP, và duy trì/quản lý các kết
nối.
Authentication Header (AH): Protocol AH đảm bảo rằng các data packet
đến từ một nguồn đáng tin cậy và dữ liệu không bị giả mạo, giống như một
con dấu chống giả mạo trên một sản phẩm tiêu dùng. Các header này không
cung cấp bất kỳ mã hóa nào, chúng không giúp che giấu dữ liệu khỏi
Hacker.
Encapsulating Security Protocol (ESP): ESP mã hóa IP header cho mỗi
packet – trừ khi transport data mode được sử dụng. Trong trường hợp này,
nó chỉ mã hóa payload. ESP thêm header riêng và một đoạn trailer vào mỗi
data packet.
Security Association (SA): SA đề cập đến một số Protocol được sử dụng để
đàm phán các key và thuật toán mã hóa. Một trong những Protocol SA phổ
biến nhất là Internet Key Exchange (IKE).
Cuối cùng, mặc dù Internet Protocol (IP) không phải là một phần của IPSec,
nhưng nhóm giao thức này chạy trực tiếp trên IP.
46
5.4.1 Giao thức AH
AH cung cấp xác thực nguồn gốc dữ liệu (Data Origin Authentication),
kiểm tra tính toàn vẹn dữ liệu (Data Integrity), và dịch vụ chống phát lại (Anti-
replay Service). Đến đây, cần phải phân biệt được hai khái niệm toàn vẹn dữ
liệu và chống phát lại toàn vẹn dữ liệu là kiểm tra những thay đổi của từng gói
tin IP, không quan tâm đến vị trí các gói trong luồng lưu lượng, còn dịch vụ
chống phát lại là kiểm tra sự phát lặp lại một gói tin tới địa chỉ đích nhiều hơn
một lần. AH cho phép xác thực các trường của IP header cũng như dữ liệu của
các giao thức lớp trên, tuy nhiên do một số trường của IP header thay đổi trong
khi truyền và phía phát có thể không dự đoán trước được giá trị của chúng khi
tới phía thu, do đó giá trị của các trường này không bảo vệ được bằng AH. Có
thể nói AH chỉ bảo vệ một phần của IP header mà thôi. AH không cung cấp
bất cứ xử lý nào về bảo mật dữ liệu của các lớp trên, tất cả đều được truyền
dưới dạng văn bản rõ.
AH nhanh hơn ESP, nên có thể chọn AH trong trường hợp chắc chắn về
nguồn gốc và tính toàn vẹn của dữ liệu nhưng tính bảo mật dữ liệu không cần
được chắc chắn.
Giao thức AH cung cấp chức năng xác thực bằng cách thực hiện một
hàm băm một chiều (One-way Hash Function) đối với dữ liệu của gói để tạo ra
một đoạn mã xác thực (Hash hay Message Digest). Đoạn mã đó được chèn
vào thông tin của gói truyền đi. Khi đó, bất cứ thay đổi nào đối với nội dung
của gói trong quá trình truyền đi đều được phía thu phát hiện khi nó thực hiện
cùng với một hàm băm một chiều đối với gói dữ liệu thu được và đối chiếu nó
với giá trị hash đã truyền đi. Hàm băm được thực hiện trên toàn bộ gói dữ liệu,
trừ một số trường trong IP header có giá trị bị thay đổi trong quá trình truyền
mà phía thu không thể dự đoán trước được (ví dụ thời gian sống của gói tin bị
các router thay đổi trên đường truyền dẫn).
47
5.4.2 Giao thức Encapsulating Security Payload (ESP)
Cũng như AH, giao thức này được phát triển hoàn toàn cho IPSec. Giao
thức này cung cấp tính bí mật dữ liệu bằng việc mật mã hóa các gói tin. Thêm
vào đó, ESP cũng cung cấp nhận thực nguồn gốc dữ liệu, kiểm tra tính toàn
vẹn dữ liệu, dịch vụ chống phát lại và một số giới hạn về luồng lưu lượng cần
bảo mật. Tập các dịch vụ cung cấp bởi ESP phụ thuộc vào các lựa chọn tại
thời điểm thiết lập SA, dịch vụ bảo mật được cung cấp độc lập với các dịch vụ
khác. Tuy nhiên nếu không kết hợp sử dụng với các dịch vụ nhận thực vào
toàn vẹn dữ liệu thì hiệu quả bí mật sẽ không được đảm bảo. Hai dịch vụ nhận
thực và toàn vẹn dữ liệu luôn đi kèm nhau. Dịch vụ chống phát lại chỉ có thể
có nếu nhận thực được lựa chọn. Giao thức này được sử dụng khi yêu cầu về
bí mật của lưu lượng IPSec cần truyền.
IKE SA là quá trình hai chiều và cung cấp một kênh giao tiếp bảo mật
giữa hai bên. IKE SA được nhận ra bởi các cookies của bên khởi tạo, được
theo sau bởi các cookies của trả lời phía đối tác. Thứ tự các cookies được thiết
lập bởi phase1 sẽ tiếp tục chỉ ra IKE SA, bất chấp chiều của nó. Chức năng
chủ yếu của IKE là thiết lập và duy trì các SA. Các thuộc tính sau đây là mức
tối thiểu phải được thống nhất giữa hai bên như là một phần của ISAKMP SA:
IKE thực hiện quá trình dò tìm, quá trình xác thực, quản lý và trao đổi
khóa. IKE sẽ dò tìm ra một hợp đồng giữa hai đầu cuối IPSec và sau đó SA sẽ
theo dõi tất cả các thành phần của một phiên làm việc IPSec. Sau khi đã dò tìm
thành công, các thông số SA hợp lệ sẽ được lưu trữ trong cơ sở dữ liệu của
SA.
Ứng dụng trong phụ thuộc: Vì IPSec VPN được vận hành ở cấp độ mạng
nên không có sự phụ thuộc vào ứng dụng ở đây. Bất kể loại ứng dụng nào
được sử dụng, IPSec không phụ thuộc vào nó. Tất cả các ứng dụng trong
IPSec đều được định tuyến bằng IP giúp chúng tương thích. Điều duy nhất
được yêu cầu là sửa đổi trong hệ điều hành.
Bảo mật dữ liệu: Quyền riêng tư của dữ liệu được bảo vệ trong IPSec
bằng cách sử dụng các khóa công khai. Bất kỳ dữ liệu nào được trao đổi giữa
máy chủ và mạng đều sử dụng khóa công khai để đảm bảo an toàn. Ngoài ra,
bằng cách đảm bảo an toàn cho các khóa, người dùng có thể đảm bảo rằng dữ
liệu đến từ máy chủ lưu trữ phù hợp chứ không phải từ bất kỳ trang web giả
mạo nào. Do đó, bất kỳ nội dung nào bên trong gói dữ liệu đều được bảo vệ
khỏi bị nghe trộm và các hình thức gián điệp khác.
49
Hỗ trợ mạng: Do sự hiện diện của Lớp IP, IPSec có thể được triển khai
cho bất kỳ mạng nào từ mọi quy mô. Không phân biệt bất kỳ mạng nào từ
LAN đến WAN, chúng có thể được áp dụng bao gồm cả Internet.
Xác thực: IPSec thực hiện xác thực bằng cách đặt chữ ký số trên mỗi gói
dữ liệu. Bất kỳ hình thức can thiệp nào từ bên thứ ba đều được bảo vệ tại đây.
Do đó, nội dung bên trong tiêu đề gói không thể được sửa đổi nếu không bị
phát hiện. Và nó cũng xác minh danh tính cho 2 đầu của kết nối.
50
mạng lưới của công ty riêng. Do đó, chỉ bằng cách liên hệ với quản trị
viên mạng, người dùng có thể truy cập vào mạng tương ứng.
5.6 Giao thức đường hầm L2TP
5.6.1 Khái niệm
L2TP là viết tắt của Layer 2 Tunneling Protocol, một giao thức tunneling
(tạo "đường hầm" truyền dữ liệu qua các mạng). L2TP hỗ trợ tạo mạng riêng
ảo VPN hoặc là một thành phần của mạng phân phối dịch vụ của ISP. L2TP
chỉ sử dụng mã hóa cho tin nhắn điều khiển mà không cung cấp bất cứ lớp mã
hóa hay bảo mật nào cho nội dung dữ liệu.
5.6.2 Cách thức hoạt động
Các gói tin L2TP bao gồm cả payload và header được gửi đi trong các
gói tin UDP (User Datagram Protocol). Một ưu điểm của việc truyền qua UDP
(chứ không phải TCP) là nó tránh được vấn đề TCP meltdown, khi hai giao
thức truyền dẫn có điều khiển chồng lên nhau và xung đột khi cố sửa chữa vấn
đề mất gói tin.
Hai điểm cuối của đường hầm L2TP được gọi là bộ tập trung truy cập
L2TP (LAC – L2TP Access Concentrator) và máy chủ mạng L2TP (LNS –
L2TP Network Server). Lưu lượng mạng trong đường hầm là hai chiều, chia
thành nhiều session sử dụng các giao thức cấp cao hơn như PPP. Cả LAC và
LNS đều có thể khởi động một session, lưu lượng của mỗi session được cách
ly bởi L2TP, vì vậy có thể thiết lập nhiều mạng ảo trên một đường hầm.
Các gói tin được trao đổi trong một đường hầm L2TP được phân loại
thành gói điều khiển hoặc gói dữ liệu. L2TP chỉ cung cấp các tính năng bảo
mật cho các gói điều khiển (control message), không có biện pháp an toàn nào
cho các gói dữ liệu (payload). Vì vậy muốn đảm bảo độ tin cậy cần dựa vào
các bộ giao thức khác lồng trong mỗi session của đường hầm L2TP như
IPSec.
51
L2TP cho phép tạo mạng quay số riêng ảo (VPDN) để kết nối máy khách
từ xa với mạng công ty của nó bằng cách sử dụng cơ sở hạ tầng dùng chung,
có thể là Internet hoặc mạng của nhà cung cấp dịch vụ.
5.6.3 Ưu nhược điểm của L2TP
Ưu điểm:
L2TP có thể được kết hợp với IPSec để cung cấp mức độ bảo mật trực
tuyến tốt.
Dễ thiết lập ngay cả với sự kết hợp L2TP/IPSec.
Được tích hợp trong các hệ điều hành desktop phổ biến là Windows
và MacOS, đồng thời có thể được cấu hình cho nhiều thiết bị và hệ
điều hành khác.
Tốc độ tương đối cao do không có phương thức bảo mật.
Nhược điểm.
L2TP không có các phương thức mã hóa riêng, do đó phải được ghép
nối với các bộ giao thức mã hóa khác như IPSec để có khả năng bảo
mật. Việc kết hợp này có thể gây hao tốn tài nguyên và làm chậm tốc
độ xử lý.
L2TP có thể bị tường lửa NAT (Network Address Translation) chặn
nếu nó không được cấu hình thêm để bỏ qua chúng.
52
Cần chuẩn bị một VPS/Server chạy hệ điều hành CentOS 7 và cập nhật
phần mềm mới nhất bằng lệnh: # yum update -y
Tiếp theo tắt SELinux để tránh các lỗi phát sinh bằng lệnh:
Sau khi cập nhật xong và tắt SELinux ta phải khởi động lại máy chủ để
nhận cấu hình mới.
- Thiết lập các thông số trong nhân Linux: Để luồng dữ liệu từ các máy
client kết nối vào VPN Server cần thiết lập các thông số bên dưới vào nhân
Linux. Thực hiện mở file “sysctl.conf ” tại đường dẫn sau:
#nano /etc/sysctl.conf
53
Sau khi cấu hình xong tiến hành save lại và dùng lệnh sau để nhân Linux
nhận các thiết lập này:
#sysctl -p
- Cấu hình IPSec: IPSec là một giao thức bảo mật dùng để mã hóa thông
tin. Mặc định IPSec đã có sẵn trên CentOS 7 nên các bạn chỉ cần cấu hình
thông số theo ý muốn mà không cần phải cài đặt. Các bạn mở file cấu hình tại
đường dẫn sau:
#nano /etc/ipsec.d/l2tp_psk.conf
Tiếp đến cấu hình mật khẩu Pre-Shared Key (PSK), đây là mật khẩu
chung được gửi tới toàn bộ client muốn kết nối đến VPN phải nhập mật khẩu
này.
#nano /etc/ipsec.secrets
54
Hình 5.4 Cấu hình mật khẩu PSK
#ipsec verify
- Cấu hình dịch vụ xl2tpd: Đây là dịch vụ giúp chúng ta tương tác được
với giao thức L2TP. Tại đây các thông số được cấu hình như địa chỉ IP cấp
phát, cách thức xác thực cũng như quản lý user đăng nhập.
55
#nano /etc/xl2tpd/xl2tpd.conf
#nano /etc/ppp/options.xl2tpd
Xóa hết nội dung bên trong và thay thế vào nội dung mới bên dưới:
Tiếp đến là khai báo username và password cho từng client trong file
sau: #nano /etc/ppp/chap-secrets
56
Hình 5.8 Khai báo username và password
Khởi động dịch vụ xl2tpd lên và cho phép khởi động cùng server bằng
hai lệnh sau:
Cần cấu hình mở port và cho phép gói tin đi qua card mạng trên server
bằng cách gõ trực tiếp các lệnh sau.
Đầu tiên vào (Control Panel -> Network and Internet -> Network and
sharing Center -> Set up a new connection ỏ network -> Connect to a
workplace -> Use my Internet connection (VPN))
Tại đây đăng nhập địa chỉ ip của máy chủ và tên sau đó nhấn Next
57
Hình 5.10 Đăng nhập địa chỉ máy chủ.
Tiếp theo nhấn vào VPNserver chọn Properties, ở General (nhập ip máy
chủ), ở Options (bỏ chọn “include Windows logon domain”), ở Security (type
of VPN "Layer 2 tunneling protocol with IPsec (L2TP/IPsec), Data encryption
"Optional encryption (connect even if no encryption)").
58
Hình 5.12 Đăng nhập VPN thành công
59
5.8 Tổng kết chương 5
IPSec là một trong những giao thức cần có khi cấu hình VPN bởi vì IPSec có
hai cơ chế cơ bản để đảm bảo an toàn dữ liệu đó là AH và ESP, trong hai cơ chế này
thì một cơ chế cho phép xác thực nguồn gốc dữ liệu và một cơ chế cung cấp tính an
toàn cho các gói tin truyền, đó là một trong những yếu tố quan trọng để có thể mã
hóa và bảo mật thông tin.
Vai trò của IPSec là cho phép xác thực hai chiều, mã hóa đường truyền, bảo vệ
các gói dữ liệu và bảo vệ ip, điều này rất quan trọng đối với mỗi doanh nghiệp, nó
không chỉ bảo vệ thông tin của bạn mà còn giúp đường truyền của bạn trở nên an
toàn hơn và tránh những cuộc tấn công mạng không bảo mật.
Trong bài lab về cấu hình hệ thống VPN kết hợp với IPSec trên môi trường
Linux, nhóm đã kết hợp thêm giao thức L2TP một trong những giao thức được sử
dụng phổ biến nhất hiện nay. Sự kết hợp giữa IPSec và L2TP là sự kết hợp hoàn
hảo nó không những hỗ trợ cho nhau mà còn làm tăng thêm tính bảo mật cho hệ
thống, điều đó thực sự cần thiết cho doanh nghiệp.
Như một chuẩn, IPSec nhanh chóng trở thành phương pháp được đánh giá cao
để bảo mật thông tin trong mạng TCP/IP. Được thiết kế để hỗ trợ nhiều lược đồ mã
hóa và xác thực và tính tương giao giữa nhiều người bán hàng, IPSec có thể được
thay đổi để thích hợp với các yêu cầu bảo mật của cả các tổ chức lớn hay nhỏ. Các
nền công nghiệp dựa trên công nghệ liên mạng để liên lạc với các đối tác làm ăn sẽ
có lợi nhờ vào các lược đồ xác thực và mã hóa của IPSec, các tổ chức lớn sẽ có lợi
nhờ tính mở rộng được khả năng quản lý tập trung của IPSec, mỗi công ty đều có
lợi từ khả năng tạo mạng riêng ảo của IPSec để hỗ trợ những nhân viên làm việc từ
xa, những nhân viên hay đi công tác và văn phòng chi nhánh sẽ truy nhập vào công
ty qua Internet.
60
CHƯƠNG 6 KẾT LUẬN
6.1 Kết luận
Thông qua quá trình tìm hiểu và xây dựng hệ thống VPN trên Linux nhóm đã
tìm hiểu những ưu điểm của hệ thống VPN khi chuyển từ hệ thống Windows sang
hệ thống mã nguồn mở, từ đó thấy được những lợi ích nhất định khi sử dụng hệ điều
hành mã nguồn mở để xây dựng mạng riêng ảo.
Hoàn thành nhiệm vụ của đề tài đưa ra, xây dựng thành công hệ thống mạng
riêng ảo trên trên hệ điều hành Linux với các thiết bị và cơ sở hạ tầng phù hợp với
sự phát triển của kỹ thuật và phù hợp với nền kinh tế tài chính Việt Nam hiện tại.
Thông qua quá đó nhóm đã cơ bản hoàn thành được mục tiêu đề ra là:
Bằng sự nỗ lực và tinh thần tìm hiểu, nhóm áp dụng những kiến thức đã học từ
Trường Đại học Giao Thông Vận Tải Thành Phố Hồ Chí Minh thông qua môn
Quản Trị Mạng và Hệ Điều Hành Linux nhóm đã thực hiện vào mô hình VPN thực
tế gồm xây dựng hệ thống VPN client – to – site, VPN site – to – site và VPN
IPSec. Thông qua đó nhóm đã học hỏi được cách xây dựng và triển khai hệ thống
VPN trên hệ điều hành Linux cũng như những bước cấu hình bên trong hệ thống.
Tuy nhiên vì hạn chế về năng lực nên chưa thể đi sâu vào tìm hiểu các vấn đề
của hệ thống mà chỉ dừng lại ở mức cấu hình các máy server và client thấy được với
nhau và giao tiếp giữa các mạng.
61
Trong quá trình thực hiện đề tài, bên cạnh những thành công cũng có nhiều
phần còn hạn chế và thiếu sót đa phần nằm ở sự tỉ mỉ và tinh tế trong việc thực hiện
bài báo cáo.
Trong thời gian tới nhóm sẽ cố gắng phát triển và nghiên cứu sâu hơn về VPN
trên Linux để có thể triển khai ở mô hình thực tế cho doanh nghiệp trong tương lai
gần.
VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an
toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng
Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được
tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ thống mạng
riêng.
Bên cạnh đó, chúng ta cũng cần thương mại hóa dịch vụ VPN hay VPN
thương mại, là một dịch vụ riêng được cung cấp trực tiếp cho các cá nhân, thường
có tính phí. ExpressVPN là một dịch vụ VPN như vậy vì nó trực tiếp đáp ứng nhu
cầu riêng tư của khách hàng.
62
Không những thế, nghiên cứu xây dựng hệ thống VPN cho doanh nghiệp cung
cấp dịch vụ cho khách hàng, cho phép nhân viên từ xa của tổ chức kết nối an toàn
với Internet như thể họ đang có mặt thực tế tại văn phòng.
63
TÀI LIỆU THAM KHẢO
[1]. 7host. Từng bước xây dựng server VPN L2TP/IPSec trên CentOS 7.
10/11/2022. https://www.7host.vn/tung-buoc-xay-dung-server-vpn-l2tp-ipsec-tren-
centos-7/
[2]. Andreas Steffen, Martin Willi & Tobias Brunner. strongSwan. 22/11/2022.
https://en.wikipedia.org/wiki/StrongSwan
https://www.checkpoint.com/cyber-hub/network-security/what-is-vpn/what-is-a-
site-to-site-vpn/
[4]. David Janssen. What is a VPN? How Does it Work and Why Do You Need One.
22/09/2022. https://vpnoverview.com/vpn-information/what-is-a-vpn/
https://www.expressvpn.com/go/what-is-vpn-1
[6]. Kliment Andreev. CentOS, pfSense: Site-to-site VPN tunnel with strongswan
and pfSense. 14/11/2022. https://blog.andreev.it/2019/03/150-centos-pfsense-site-
to-site-vpn-tunnel-with-strongswan-and-pfsense/
[7] Giang. L2TP là gì? Ứng dụng giao thức L2TP trong môi trường công việc.
22/11/2022. https://bizflycloud.vn/tin-tuc/l2tp-la-gi-20210721152306927.htm
[8]. Ladigi. Dùng VPN Server riêng bảo vệ an toàn trên mạng – cách cài đặt và kết
nối VPN. 08/10/2022. https://ladigi.vn/dung-vpn-server-rieng-bao-ve-an-toan-tren-
mang-cach-cai-dat-va-ket-noi-vpn
64